Toon posts:

Trojan:win32/malgen in cache browser na bezoek Twitch?

Pagina: 1
Acties:

zondag 15 december 2024 15:04

Acties:
  • 0 Henk 'm!
  • RogerW
  • Registratie: December 2013
  • Laatst online: 14-05 23:06

RogerW

Topicstarter
Ha medetweakers,

Een paar dagen geleden draaide ik een volledige scan met Windows Defender en tot mijn grote schrik stond er - volgens Defender althans - malware op mijn pc. Het ging om "trojan:win32/malgent" Afbeeldingslocatie: https://tweakers.net/i/0IbUS9B4UevvJZhqvr4W-q6OcIg=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/NNnhppGEAwWMJEIf4ElmCFYO.png?f=user_large.
Ik verwijderde het bestand en deed voor de zekerheid een fabric reset. Ging daarna vrolijk verder met browsen, maar na nog een scan van Defender stond dat malware bestand er nog steeds op. Weer verwijderd, Malwarebytes gedownload en een scan laten draaien, en alles leek weer oke.

Na wat googelen vond ik op reddit verschillende recente posts van mensen die datzelfde malware bestand ontdekten op hun pc na een bezoek aan Twitch, een site die ik ook regelmatig bezoek. Nu lijkt het me sterk dat de site van Twitch malware verspreidt, dus ik neem aan dat het vals alarm was van Windows Defender.

Zijn er meer mensen hier die recent "trojan:win32/malgent" op hun pc hebben gekregen na een bezoek aan Twitch?

zondag 15 december 2024 15:13

Acties:
  • +1 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik heb je vraag even afgesplitst van [Virusscanners] Discussietopic deel 4 want een specifieke vraag.

Het zou niet voor het eerst zijn dat er malware komt via ads.

Kan alsnog prima een false positive zijn. Je zou de inhoud van het bestand eens kunnen bekijken in notepad(!) na evt. uitpakken met bijv. 7zip.
This file is served up as soon as you land on Twitch,

Inside the detected GZip archive is a heavily obfuscated javascript file. It's highly unlikely that Windows Defender will change its stance on the detection of such a heavily obfuscated file.

The only short term fix is to avoid Twitch. The long term fix is for Twitch to stop serving the file.
Klinkt plausibel. Ik zou me vooralsnog geen zorgen maken - maar voor de zekerheid wel zeker zijn dat backups okay zijn, en even geen bankzaken doen via de PC.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 15 december 2024 15:29

Acties:
  • 0 Henk 'm!
  • RogerW
  • Registratie: December 2013
  • Laatst online: 14-05 23:06

RogerW

Topicstarter
Dank voor je reactie F_J_K. Als ik het goed begrijp, dan is dat bestand zo ingewikkeld gecodeerd dat Defender het - al dan niet ten onrechte - aanziet voor malware. De inhoud van het bestand had ik al eerder gezien op een forum, maar ik kwam daar niet echt wijs uit. Gelukkig doe ik bankzaken nooit via pc. Hopelijk komt er nog een reactie van Twitch.

zondag 15 december 2024 15:34

Acties:
  • +2 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 14:13

jeroen3

Het is reproduceerbaar, met adblock en pihole, dus het is iets wat twitch zelf serveert.

https://www.virustotal.co...2071f82b87bd75ebf41b2a3b6

En het is (veel) obfuscated javascript.
https://pastebin.com/6Gq7w3Cy

(plaintext mag je hem trouwens niet openen in kladblok van defender)

[ Voor 12% gewijzigd door jeroen3 op 15-12-2024 15:35 ]

zondag 15 december 2024 15:41

Acties:
  • +1 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 14:13

jeroen3

Wellicht dat iemand met ChatGPT of GitHub copilot kan vragen wat het doet?

De code zelf wordt niet als gevaarlijk herkent.
https://www.virustotal.co...ee37216bd3d607dd3b5a5c58/

dinsdag 17 december 2024 11:31

Acties:
  • +1 Henk 'm!
  • Cyb
  • Registratie: Augustus 2002
  • Niet online

Cyb

@RogerW Volgens https://www.reddit.com/r/...arding_the_twitch_trojan/ waar de OP een reverse engineering deed:
The provided code is a heavily obfuscated JavaScript snippet designed to run client-side and implement various security, request interception, and configuration features. It appears to be part of a browser-based "anti-bot" or "selective protection" SDK that intercepts form submissions, XHR/fetch requests, and potentially other client-side events. The script sets up global objects and methods, listens for specific events, caches configurations, and applies dynamic or encrypted configuration data. It is likely part of a security solution aimed at preventing automated scraping, fraud, or malicious activities by injecting challenges or modifying requests in real-time.
Dus waarschijnlijk een false positive.

Ook is het aantreffen van positives in de browser cache meestal onschuldiger dan elders in het systeem.

[ Voor 5% gewijzigd door Cyb op 17-12-2024 11:34 ]

dinsdag 17 december 2024 14:38

Acties:
  • 0 Henk 'm!
  • RogerW
  • Registratie: December 2013
  • Laatst online: 14-05 23:06

RogerW

Topicstarter
@Cyb Dank! Had die redditpost gister ook al gezien. Fijn om te weten dat het inderdaad een false positive was.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq